LA CAMPANA

C'è chi ha letto questa notizia prima di te.
Iscriviti per ricevere gli ultimi articoli.
E-mail
Nome
Cognome
Come vuoi leggere The Bell
Niente spam

Il pannello di amministrazione di WordPress viene attaccato su cosa fare. Proteggiamo e nascondiamo il pannello di amministrazione tramite .htaccess. Protezione contro gli attacchi di forza bruta

Condividere
Condividere
Tweet
Piace
Piace

Probabilmente sai già come accedere all'area di amministrazione di WordPress?

Puoi farlo in almeno quattro modi aggiungendo quanto segue all'indirizzo del tuo sito web:

  1. / admin, ovvero in questo modo: http: // yoursite / admin
  2. / wp-admin
  3. / accesso
  4. /wp-login.php

In generale, tutte e tre le prime opzioni di reindirizzamento (reindirizzamento) ti porteranno comunque alla pagina: http: //your_site/wp-login.php

Risulta che chiunque può aggiungere uno qualsiasi dei quattro prefissi sopra descritti all'indirizzo del tuo sito e vedere il login dell'amministratore:

Ovviamente, questo non significa affatto che chiunque possa accedere facilmente al pannello di amministrazione, perché deve comunque conoscere il nome utente o la tua e-mail e la tua password.

Se il tuo utente-amministratore ha un login: - questo non è affatto prudente da parte tua e l'attaccante dovrà solo indovinare o indovinare la tua password.

Inoltre, vedi la scritta: Username o e-mail? Sì, sì, è l'e-mail che WordPress può utilizzare come nome utente. Ma potresti aver specificato un indirizzo e-mail da qualche parte sul sito che corrisponde all'e-mail dell'utente amministratore. Si scopre che la prima cosa che un utente malintenzionato può provare è inserire la tua e-mail, quindi WordPress lo aiuterà di nuovo, perché se l'e-mail non si adatta vedrà il seguente messaggio:

e se l'e-mail è corretta, WordPress scriverà che la password non è corretta per esso:

Di conseguenza, abbiamo una situazione in cui un potenziale aggressore dovrà solo indovinare o trovare la tua password per hackerare il tuo sito (accesso al pannello di amministrazione).

Come proteggere l'ingresso al pannello di amministrazione da potenziali minacce? La risposta è semplice: prova ad aumentare il numero di incognite richieste per entrare.

Ora diamo uno sguardo più da vicino:

  1. Se possibile, assicurati che l'e-mail dell'utente amministratore non sia menzionata in nessuna parte del sito: l'e-mail pubblica dovrebbe essere qualcos'altro.
  2. La tua password non dovrebbe essere semplice, quando l'installazione di WordPress stesso genera una password complessa per te, se non vuoi usarla, crea una password più o meno complessa, inclusi caratteri piccoli e grandi, numeri e alcuni simboli come -,?, _ eccetera.
  3. Il tuo nome utente non dovrebbe essere semplice, no: amministratore, gestore, root, amministratore, utente e altre semplici parole!
  4. Infine, devi inserire il terzo sconosciuto più importante: cambia l'URL di accesso al pannello di amministrazione, per questo installa un semplice plug-in: WPS Nascondi login
WPS Nascondi login

Un plugin semplice, gratuito e abbastanza popolare che ti permette di cambiare l'URL di accesso all'area di amministrazione.

Dopo aver installato e attivato il plugin, devi andare alla sezione admin: Impostazioni / Generale, quindi scorri fino alla fine della pagina e vedi solo un parametro aggiunto da questo plugin:

Per impostazione predefinita, il plug-in richiede di utilizzare la voce http: // yoursite / login, ma non è l'opzione migliore! Inventa qualcosa di tuo, ad esempio: yyy12_go)))

Dopo aver modificato questo parametro, non dimenticare di fare clic sul pulsante Salvare le modifiche - altrimenti, con il plugin attivo, avrai un login tramite http: // yoursite / login

Assicurati di provare a uscire e andare di nuovo al pannello di amministrazione, ma al nuovo indirizzo di accesso che ti è venuto in mente e, cosa più importante, non dimenticarlo!

Dopo aver modificato il punto di ingresso nel pannello di amministrazione, quando si tenta di inserire gli URL standard, l'utente riceverà una pagina di errore 404.

Attenzione! Se improvvisamente dimentichi il nuovo indirizzo di accesso per il pannello di amministrazione, dovrai disabilitare questo plugin. Puoi farlo senza andare al pannello di amministrazione se hai accesso alle cartelle e ai file del sito. Hai solo bisogno di rinominare o eliminare la cartella del plugin wps-hide-login, che sarà nella cartella plugin(la cartella dei plugin si trova nella cartella wp-content).

Di conseguenza: dopo aver applicato tutte le misure di cui sopra, dovremmo ricevere la protezione dell'ingresso al pannello di amministrazione con tre incognite: e-mail / nome utente, una password complessa e il nostro URL di accesso univoco - e questo può complicare in modo significativo i tentativi dei giovani hacker)

WordPress è uno dei CMS più popolari al mondo. Oltre il 18,9% di tutti i siti Internet ci lavora e il numero di installazioni ha superato i 76,5 milioni. Sfortunatamente, questa popolarità ha i suoi svantaggi. Secondo un rapporto di Securi, una società di sicurezza di siti Web, WordPress è il CMS più hackerato al mondo. Tuttavia, se segui le migliori pratiche in questa materia e segui alcuni trucchi della nostra guida, scoprirai che la sicurezza di WordPress può essere facilmente rafforzata con pochi semplici passaggi.

Prima di iniziare questo tutorial, controlla quanto segue:

  • Accesso alla dashboard di WordPress
  • Accesso al tuo account di hosting (opzionale)

Passaggio 1: mantenere aggiornato WordPress

Questo sarà il primo e più importante passo per migliorare la sicurezza di WordPress. Se desideri un sito Web pulito e privo di malware, devi assicurarti che la tua versione di WordPress sia aggiornata. Può sembrare semplice, ma solo il 22% di tutte le installazioni di WordPress utilizza la versione più recente.

WordPress ha implementato una funzione di aggiornamento automatico nella versione 3.7, ma funziona solo per piccoli aggiornamenti di sicurezza. Considerando che i principali aggiornamenti devono essere installati manualmente.

Se non sai come aggiornare WordPress dai un'occhiata qui.

Passaggio 2: utilizzo di credenziali di accesso non standard

Stai usando admin come nome utente dell'amministratore di WordPress? Se la tua risposta è sì, stai seriamente compromettendo la sicurezza di WordPress e rendendo più facile per gli hacker hackerare il tuo pannello di controllo. Si consiglia vivamente di modificare il nome utente dell'amministratore con qualcos'altro (vedere questa guida se non si è sicuri di come farlo) o creare un nuovo account amministratore con dettagli diversi. Segui questi passaggi se preferisci la seconda opzione:

Una buona password gioca un ruolo chiave nella sicurezza di WordPress. È molto più difficile decifrare una password composta da numeri, lettere maiuscole e minuscole e caratteri speciali. Strumenti come LastPass e 1Password possono aiutarti a creare e gestire password complesse. Inoltre, se hai bisogno di accedere alla dashboard di WordPress quando sei connesso a una rete non protetta (come bar, biblioteche pubbliche, ecc.), Assicurati di utilizzare una VPN sicura che protegga le tue informazioni di accesso.

Passaggio 3: attivazione della verifica in due passaggi

La verifica in due passaggi aggiunge un ulteriore livello di sicurezza alla tua pagina di accesso. Dopo aver confermato il nome utente, aggiunge un altro passaggio che deve essere completato per l'autorizzazione corretta. Molto probabilmente lo stai già utilizzando per accedere alla posta, all'online banking e ad altri account contenenti informazioni riservate. Perché non usarlo anche su WordPress?

Anche se può sembrare scoraggiante, abilitare la verifica in due passaggi in WordPress è molto semplice. Tutto quello che devi fare è installare l'app mobile per la verifica in due passaggi e configurarla per il tuo WordPress. Puoi trovare informazioni più dettagliate su come abilitare la verifica in due passaggi su WordPress.

Passaggio 4: Disabilita la segnalazione degli errori PHP

La segnalazione degli errori PHP può essere molto utile se stai sviluppando un sito web e vuoi assicurarti che tutto funzioni correttamente. Tuttavia, mostrare errori a tutti è un grave difetto di sicurezza in WordPress.

Devi risolvere questo problema il prima possibile. Non allarmarti, non devi essere un programmatore per disabilitare la segnalazione degli errori PHP su WordPress. La maggior parte dei provider di hosting fornisce questa opzione nel proprio pannello di controllo. In caso contrario, aggiungi le seguenti righe al tuo file wp-config.php... Puoi usare o per modificare il file wp-config.php.

Error_reporting (0); @ini_set ("display_errors", 0);

È tutto. La segnalazione degli errori è disabilitata.

Passaggio 5: non utilizzare modelli WordPress annullati

Ricorda "Il formaggio gratis è solo in una trappola per topi". Lo stesso vale per modelli e plugin annullati.

Ci sono migliaia di plugin e modelli annullati su Internet. Gli utenti possono scaricarli gratuitamente utilizzando vari file sharing o file torrent. Quello che non sanno è che la maggior parte di loro è infettata da malware o collegamenti a tecniche SEO black hat.

Smetti di usare plugin e modelli annullati. Non solo questo non è etico, ma compromette anche la sicurezza di WordPress. In definitiva, pagherai di più allo sviluppatore per ripulire il tuo sito.

Passaggio 6 - Scansiona WordPress per malware

Per infettare WordPress, gli hacker spesso sfruttano i buchi nei modelli o nei plugin. Pertanto, è importante rivedere frequentemente il tuo blog. Ci sono molti plugin ben scritti per questo scopo. WordFence si distingue dalla massa. Offre una guida alle applicazioni e funzionalità di verifica automatica, insieme a una serie di altre impostazioni varie. Puoi persino recuperare file modificati / infetti in un paio di clic. È distribuito gratuitamente. Questi dati dovrebbero essere sufficienti per installarlo subito.

Altri popolari plugin per rafforzare la sicurezza di WordPress:

  • BulletProof Security - A differenza di WordFence, di cui abbiamo discusso in precedenza, BulletProof non esegue la scansione dei file, ma fornisce un firewall, protezione del database e altro ancora. Una caratteristica distintiva è la possibilità di configurare e installare il plugin in pochi clic del mouse.
  • Sucuri Security - Questo plugin ti protegge dagli attacchi DDOS, contiene una lista nera, esegue la scansione del tuo sito alla ricerca di malware e gestisce il tuo firewall. Quando trovi qualcosa. riceverai una notifica via email. Google, Norton, McAfee: questo plugin include tutte le blacklist di questi programmi. Puoi trovare una guida completa all'installazione di plugin per un sito WordPress.

Passaggio 7: trasferimento del sito su un hosting più sicuro

Questo consiglio può sembrare strano, ma le statistiche mostrano che oltre il 40% dei siti WordPress è stato violato a causa di falle di sicurezza nell'account di hosting. Queste statistiche dovrebbero spingerti a migrare WordPress su un hosting più sicuro. Alcuni fatti chiave da tenere a mente quando si sceglie un nuovo hosting:

  • Se si tratta di un hosting condiviso, assicurati che il tuo account sia isolato da altri utenti e che non ci siano rischi di infezione da altri siti sul server.
  • L'hosting ha una funzione di backup automatico (backup).
  • Il server dispone di un firewall e di uno strumento di scansione di terze parti.

Passaggio 8: eseguire il backup dei dati il \u200b\u200bpiù spesso possibile

Anche i siti più grandi vengono violati ogni giorno, nonostante i loro proprietari spendano migliaia per migliorare la sicurezza di WordPress.

Se segui le migliori pratiche in questa materia e applichi i suggerimenti in questo articolo, dovresti comunque eseguire regolarmente il backup del tuo sito.

Esistono diversi modi per creare un backup. Ad esempio, è possibile scaricare manualmente i file del sito ed esportare il database o utilizzare gli strumenti forniti dalla società di hosting. Un altro modo è utilizzare i plugin di WordPress. I più apprezzati sono:

Puoi persino automatizzare il processo di creazione e archiviazione dei backup di WordPress in Dropbox.

Passaggio 9: disattivare la modifica dei file

Come probabilmente saprai, WordPress ha un editor integrato che ti consente di modificare i file PHP. Questa funzione è tanto utile quanto può essere dannosa. Se gli hacker hanno accesso al tuo pannello di controllo, la prima cosa che guardano è Editor di file... Alcuni utenti di WordPress preferiscono disattivare completamente questa funzione. Può essere disattivato modificando il file wp-config.phpaggiungendo lì il codice seguente:

Definisci ("DISALLOW_FILE_EDIT", true);

È tutto ciò di cui hai bisogno per disabilitare questa funzione in WordPress.

IMPORTANTE! Nel caso in cui desideri riattivare questa funzione, usa Client FTP o File manager il tuo hosting e rimuovi questo codice dal file wp-config.php.

Passaggio 10: rimozione di modelli e plug-in inutilizzati

Ripulisci il tuo sito WordPress e rimuovi eventuali modelli e plug-in inutilizzati. Gli hacker spesso utilizzano modelli e plug-in disabilitati e obsoleti (anche plug-in ufficiali di WordPress) per ottenere l'accesso al pannello di controllo o caricare contenuti dannosi sul server. Rimuovendo plug-in e modelli che hai smesso di utilizzare (e potresti aver dimenticato di aggiornare) molto tempo fa, riduci i rischi e rendi il tuo sito WordPress più sicuro.

Passaggio 11: utilizzo di .htaccess per migliorare la sicurezza di WordPress

Htaccess è un file richiesto per il corretto funzionamento dei collegamenti di WordPress. Senza voci corrette nel file .htaccess, riceverai molti errori 404.

Non molti utenti sanno che .htaccess può essere utilizzato per migliorare la sicurezza di WordPress. Ad esempio, puoi bloccare l'accesso o disabilitare l'esecuzione di PHP in cartelle specifiche. Di seguito sono riportati alcuni esempi di come utilizzare .htaccess per migliorare la sicurezza del tuo sito WordPress.

IMPORTANTE! Prima di apportare modifiche al file, eseguire il backup del vecchio file .htaccess. Puoi usare o per questo.

Negare l'accesso all'area di amministrazione di WordPress

Il codice seguente ti consentirà di accedere all'area di amministrazione di WordPress solo da IP specifici.

AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Admin Access Control" AuthType Basic ordine negato, consenti negato da tutti consenti da xx.xx.xx.xxx consenti da xx.xx.xx.xxx

Nota che devi cambiare XX.XX.XX.XXX con il tuo indirizzo IP. Puoi utilizzare questo sito per controllare il tuo IP attuale. Se stai utilizzando più di una connessione per gestire il tuo sito WordPress, assicurati di scrivere altri indirizzi IP (aggiungi tutti gli indirizzi di cui hai bisogno). Non è consigliabile utilizzare questo codice se si dispone di un indirizzo IP dinamico.

Disabilita l'esecuzione di PHP in cartelle specifiche

Gli hacker adorano caricare script backdoor nella cartella dei download di WordPress. Per impostazione predefinita, questa cartella viene utilizzata solo per memorizzare i file multimediali. Quindi, non dovrebbe contenere alcun file PHP. Puoi facilmente disabilitare l'esecuzione di PHP creando un nuovo file .htaccess in / wp-content / uploads / con le seguenti regole:

rifiutato da tutti

Protezione del file wp-config.php

Il file wp-config.php contiene le impostazioni principali di WordPress e i dettagli del database MySQL. Quindi, è il file più importante in WordPress. Pertanto, molto spesso diventa l'obiettivo principale degli hacker di WordPress. Tuttavia, puoi proteggerlo facilmente utilizzando le seguenti regole in .htaccess:

ordine consenti, nega nega da tutti

Passaggio 12: modifica dei prefissi del database WordPress standard per impedire l'iniezione di SQL

Il database di WordPress contiene e archivia tutte le informazioni chiave necessarie al funzionamento del tuo sito web. Di conseguenza, diventa un altro bersaglio di hacker e spammer che eseguono codice automatizzato per condurre SQL injection. Durante l'installazione di WordPress, molte persone non si preoccupano di modificare il prefisso del database predefinito. wp_.Secondo WordFence, 1 hack di WordPress su 5 coinvolge l'iniezione di SQL. Come wp_ questo è uno dei valori standard, gli hacker iniziano per primi. In questa fase, daremo una rapida occhiata a come proteggere il tuo sito WordPress da questo tipo di attacco.

Modifica della tabella dei prefissi per un sito WordPress esistente

Parte prima: modifica del prefisso in wp-config.php

Trova il tuo file wp-config.php utilizzando o trova la riga con il valore $ table_prefix.

Puoi aggiungere altri numeri, lettere o trattini bassi. Dopodiché, salva le modifiche e vai al passaggio successivo. In questo tutorial usiamo wp_1secure1_ come nuovo prefisso di tabella.

Mentre sei nel tuo file wp-config.php, trova anche il nome del tuo database per sapere quale cambiare. Guarda nella sezione define ("DB_NAME".

Parte seconda: aggiornamento di tutte le tabelle del database

Ora devi aggiornare tutti i record nel tuo database. Questo può essere fatto usando phpMyAdmin.

Trova il database definito nella prima parte e inseriscilo.

Per impostazione predefinita, l'installazione di WordPress ha 12 tabelle e ognuna deve essere aggiornata. Tuttavia, questo può essere fatto più velocemente utilizzando la sezione SQL in phpMyAdmin.

La modifica manuale di ciascuna tabella richiederà un'enorme quantità di tempo, quindi utilizziamo query SQL per accelerare il processo. Utilizzare la seguente sintassi per aggiornare tutte le tabelle nel database:

RINOMINA tabella `wp_commentmeta` TO` wp_1secure1_commentmeta`; RINOMINA tabella `wp_comments` TO` wp_1secure1_comments`; RINOMINA tabella `wp_links` TO` wp_1secure1_links`; RINOMINA tabella `wp_options` TO` wp_1secure1_options`; RINOMINA tabella `wp_postmeta` TO` wp_1secure1_postmeta`; RINOMINA tabella `wp_posts` TO` wp_1secure1_posts`; RINOMINA tabella `wp_terms` TO` wp_1secure1_terms`; RINOMINA tabella `wp_termmeta` TO` wp_1secure1_termmeta`; RINOMINA tabella `wp_term_relationships` TO` wp_1secure1_term_relationships`; RINOMINA tabella `wp_term_taxonomy` TO` wp_1secure1_term_taxonomy`; RINOMINA tabella `wp_usermeta` TO` wp_1secure1_usermeta`; RINOMINA tabella `wp_users` TO` wp_1secure1_users`;

Alcuni modelli o plug-in di WordPress possono aggiungere ulteriori tabelle al database. Se hai più di 12 tabelle nel tuo database MySQL, aggiungi il resto manualmente alla tua query SQL ed eseguilo.

Parte terza: controllo delle opzioni e delle tabelle di metadati personalizzate

A seconda del numero di plugin installati, alcuni valori nel database devono essere aggiornati manualmente. Questo può essere fatto eseguendo query SQL separate sulla tabella. opzioni e metadati.

Per la tavola opzioni, dovresti usare:

SELEZIONA * DA `wp_1secure1_options` WHERE` nome_opzione` COME`% wp_% `

Per la tavola metadati, dovresti usare:

SELEZIONA * DA `wp_1secure1_usermeta` WHERE` meta_key` COME`% wp_% `

Quando ottieni i risultati della query, aggiorna tutti i valori da wp_ al prefisso appena configurato. Sul tavolo metadati dell'utente devi modificare il campo meta_key, mentre per opzioni, è necessario modificare il valore nome_opzione.

Protezione delle nuove installazioni di WordPress

Se prevedi di installare nuovi siti WordPress, non è necessario ripetere questo processo. Puoi facilmente modificare i prefissi delle tabelle di WordPress durante il processo di installazione:

Congratulazioni! Hai migliorato con successo la sicurezza del tuo database contro SQL injection.

Conclusione

Nonostante sia il CMS più hackerato al mondo, WordPress non è così difficile da migliorare la sua sicurezza. In questa guida, abbiamo condiviso 12 suggerimenti da seguire per mantenere sicuro il tuo WordPress.

Autore

Elena ha una formazione tecnica professionale nel campo della tecnologia dell'informazione ed esperienza di programmazione in diversi linguaggi per diverse piattaforme e sistemi. Ha dedicato più di 10 anni al campo web, lavorando con diversi CMS, come: Drupal, Joomla, Magento e, naturalmente, il sistema di gestione dei contenuti più popolare oggi - WordPress. I suoi articoli sono sempre tecnicamente accurati e accurati, che si tratti di una recensione di WordPress o di come impostare il tuo server VPS.

WordPress è un CMS molto popolare, questo non è senza dubbio il suo vantaggio, ci sono molti plugin per qualsiasi attività, ma questo è allo stesso tempo il suo punto debole, perché più popolare è il CMS per il sito, più attacchi su di esso, più precisamente, è più interessante per un hacker, poiché trova una vulnerabilità in WordPress, centinaia di migliaia di siti sono esposti agli hacker, quindi devi prestare particolare attenzione alla protezione del tuo sito WordPress.

Perché i siti WordPress vengono violati?

Tutti i CMS (motori del sito) più diffusi sono stati violati e WordPress non fa eccezione, io hackero principalmente con l'aiuto dei cosiddetti programmi (script) - exploit, per ottenere il controllo del sito, questo viene fatto principalmente per creare collegamenti dal tuo sito ad altre risorse e per creare BotNet, che si occupa di attacchi DDoS su altri server, e il sito rimane operativo, e non vedrai mai con occhio "armato" che è infetto. In ogni caso, l'hacking si rifletterà male sul tuo sito e potresti persino scomparire dai risultati di ricerca.

Come ho già detto, l'hacking avviene in modalità automatica, non è difficile determinare il CMS del sito, ci sono molti servizi online per questo, spesso l'attaccante cerca di indovinare la password dalla parte amministrativa del sito, ad es. va su your-site.ru/wp-admin e prova a trovare una password per il tuo utente, non è difficile scoprire il nome utente, perché scrivi articoli sotto di esso, quindi il login sarà visibile ai bot, sanno dove guardarlo. a meno che tu non l'abbia chiuso usando un plugin, di cui parleremo di seguito. La password dell'amministratore del sito dovrebbe essere molto complessa, ma anche se questa condizione è soddisfatta, ai bot non dovrebbe essere permesso di forzare la password dell'amministratore, perché questo non è un carico necessario sul server, immagina se diverse dozzine di bot da diverse parti del mondo lo stanno facendo.

Plugin per la protezione dagli attacchi di WordPress

Andiamo subito al plugin, degno di ascoltarne alcuni, parliamo di uno più semplice e comprensibile, lo uso su molti dei miei progetti, per i clienti, si occupa molto bene dei compiti di protezione del sito -

Questo plugin è abbastanza facile da imparare ed è russificato al 90%, viene installato come qualsiasi plugin dal repository di WordPress, dopo l'installazione è necessario attivarlo e configurare le impostazioni di base. Appare nel menu principale nell'area di amministrazione di WordPress

Pannello di controllo del plug-in di sicurezza WP

Dopo essere passati alle impostazioni del plugin, arriviamo al pannello di controllo. Qui puoi effettuare impostazioni importanti di base.

  1. Mostra le ultime 5 autorizzazioni nel tuo pannello di amministrazione, vengono indicati l'utente e l'indirizzo IP, ad esempio vedo subito i miei IP, sono solo due, quindi non ho dubbi che qualcun altro conosca la mia password dalla parte amministrativa.
  2. La sezione delle funzioni più importanti, tutto deve essere incluso qui e concordare con tutto.
  3. Il plugin è in grado di tracciare le modifiche ai file sull'hosting e può inviarti un report per posta, e tu sei sempre a conoscenza di quali file hai modificato, questo è molto utile se hai caricato qualche script o qualsiasi file con codice dannoso, lo vedrai immediatamente nel rapporto, l'unico inconveniente è che dopo aver aggiornato eventuali altri plugin che hai installato o il motore WordPress stesso, WP Security vedrà tutte queste modifiche e ti invierà un elenco enorme, ma puoi abituarti a questi rapporti, perché sai quando hai aggiornato i file da solo.
  4. Questo elemento cambia l'indirizzo standard del pannello di amministrazione del sito yoursite.ru/wp-admin, in yoursite.ru/luboe-slovo, questo salverà il tuo pannello di amministrazione da alcuni aspiranti hacker e bot, ma sfortunatamente non da tutti, specialmente quelli avanzati lo trovano ancora, Posso giudicare questo aspetto guardando la sezione "Autorizzazione", ma ne parleremo più avanti.
  5. Questa voce dovrebbe essere disattivata, come nello screenshot, è necessaria solo quando si desidera mettere in servizio il sito, verrà emesso un segno per i visitatori con un messaggio che il sito è in fase di lavori tecnici, a volte è utile, ad esempio, quando si cambia il design del sito, oppure in caso di modifiche globali, non dimenticare che in questa modalità anche i robot di ricerca non possono visualizzare il tuo sito, non chiuderlo per molto tempo.

Protezione dell'amministratore di WordPress dall'indovinare la password

Passiamo ora alla voce di menu - Autorizzazione, a mio avviso una voce molto utile, e va configurata, come su uno dei miei siti. con una presenza di circa 1000 persone, il plugin intercetta dozzine di tentativi di trovare una password per il pannello di amministrazione al giorno e aggiunge gli indirizzi IP degli hacker alla black list, ad es. lo blocca completamente, il sito smette di rispondere a questo indirizzo IP, annullando così i tentativi di indovinare la password, sullo schermo effettuo le impostazioni.

  1. Lascio il numero di tentativi di "fare un errore" a -3, non fare di meno, puoi inserire la password in modo errato da solo e dovrai entrare nella lista nera con il tuo IP
  2. Questo è il tempo trascorso il quale viene azzerato il contatore dei tentativi di accesso errati.
  3. Il periodo di blocco degli indirizzi IP da cui ci sono stati tentativi di autorizzazione errati, ho impostato di più, in minuti, ad es. bagno per molto tempo, sullo schermo costa 6.000.000 di minuti, questo è di circa 11 anni, penso che sia abbastanza

A tutti gli IP bloccati verrà negato l'accesso non solo al pannello di amministrazione, ma anche all'intero sito, tienilo a mente

Elenco di indirizzi IP bloccati

  1. indirizzo IP dell'intruso
  2. il login per il quale è stata selezionata la password, tra l'altro corretto
  3. data in cui è stato effettuato il blocco automatico

Lista bianca di indirizzi per il pannello di amministrazione

Per consentire l'accesso alla parte amministrativa del sito WordPress solo da determinati indirizzi IP, è possibile attivare la whitelist nelle impostazioni del plugin.

  1. attivando questa opzione
  2. ecco il tuo attuale indirizzo IP
  3. in questo campo inserisci tutti gli indirizzi IP dai quali è consentito l'accesso al pannello di amministrazione

Se è necessario specificare un intervallo di indirizzi IP, quindi invece di un numero, utilizzare un asterisco, ad esempio 192.168.5. * - questa costruzione darà accesso al pannello di amministrazione di wordpress da tutti gli ip che iniziano con questi numeri, questo metodo può essere utile per coloro che non hanno un indirizzo ip dedicato , e cambia costantemente, ad esempio, quando si lavora con Internet mobile, di regola, l'intervallo rimarrà entro le prime due cifre, in questo modo, ad esempio 192.168. *. *

Dall'articolo imparerai:

1. Usa un buon login.

La protezione di un sito WordPress inizia con il rudimentale: creare un buon accesso. Durante l'installazione di WordPress, gli utenti utilizzano spesso il login che il programma di installazione offre per impostazione predefinita, ovvero: admin... Questo è ciò che i bot che cercano falle di sicurezza nel tuo sito controllano in primo luogo. Usando questo login, fornisci già metà delle informazioni necessarie agli hacker e loro devono solo indovinare la password.

Se hai già installato la piattaforma e stai lavorando sul tuo sito web, probabilmente non vorrai disinstallare l'installazione e ricominciare da capo per utilizzare un accesso più affidabile. C'è un'uscita:

Passaggio 1: creazione di un nuovo utente

Accedi al pannello di amministrazione di WordPress e crea un nuovo account con un login più complesso, dotato di pieno accesso a tutte le funzioni del sito, cioè diritti di amministratore.

Dal menu principale a sinistra, seleziona Utenti \u003e\u003e Aggiungi nuovo.

Immettere tutte le informazioni richieste per il nuovo utente, definendo il suo ruolo come "Amministratore" e premete "Aggiungi nuovo utente".

Passaggio 2: rimozione dell'utente amministratore

Dopodiché, disconnettiti dal sistema di gestione, accedi con un nuovo account ed elimina l'utente admin dal sistema in uno dei seguenti modi:

Metodo 1: dal menu principale a sinistra, selezionare Utenti \u003e\u003e Tutti gli utenti... Passa il mouse sul nome utente admine vedrai la funzione "Elimina".

Metodo 2: dal menu principale a sinistra, selezionare Utenti \u003e\u003e Tutti gli utenti... Trova un utente admin, spuntalo e dal menu a tendina "Azioni" Selezionare "Elimina"... Dopo di che fare clic sull'opzione "Applicare" sotto l'elenco degli utenti. Questa opzione è utile se è necessario eliminare più utenti contemporaneamente.

Puoi anche modificare il nome utente dell'amministratore tramite una query sul database:
AGGIORNAMENTO wp_users SET user_login \u003d "new_login" WHERE user_login \u003d "admin";

Questo metodo ha uno svantaggio: autore per i post scritti dall'utente adminnon verrà modificato. Per risolvere questo problema, è necessario eseguire un'altra query sul database:
AGGIORNAMENTO wp_posts SET post_author \u003d "new_login" WHERE post_author \u003d "admin";

2. Utilizzare una password complessa e univoca.

Proteggere il tuo amministratore di WordPress è ovviamente impossibile senza una buona password. È importante che sia unico e includa numeri, lettere di casi diversi, segni di punteggiatura, simboli, ecc. Password come: pass, 1q2w3e4r5t6y, 87654321, qwerty, abc123, 111111, 1234, la tua data di nascita, ecc. - non sono affidabili, ma molti utenti continuano a utilizzarli. Un esempio di una buona password è pcVaOF8r39. Certo, sarà difficile per te ricordare una tale password, ma per questo ci sono una serie di programmi che memorizzano e generano password e possono anche essere integrati nell'interfaccia del tuo browser (ad esempio, Password Agent, KeyPass, Roboform, ecc.)

Se desideri comunque ricordare le tue password a memoria, ti consigliamo di creare una password combinata da un nome / parola che conosci bene, con alcune lettere / numeri maiuscoli in posizioni casuali e alcuni caratteri speciali all'inizio o alla fine. Anche una tale password sarà difficile da indovinare, ma sarà abbastanza facile da ricordare.

Ricordati di aggiornare regolarmente le tue password.

3. Aggiorna la tua versione di WordPress.

WordPress si prende cura dei suoi utenti e quindi puoi trovare notifiche di rilascio di nuove versioni nel pannello di controllo dell'amministratore. Ti consigliamo di eseguire l'aggiornamento non appena lo vedi, poiché uno dei difetti di sicurezza più comuni nel tuo sito è l'utilizzo di una versione obsoleta della piattaforma.

4. Nascondi la versione di WordPress.

WordPress aggiunge il numero di versione corrente al codice sorgente dei suoi file e pagine per impostazione predefinita. E poiché abbastanza spesso non è sempre possibile aggiornare la versione di WordPress in tempo, questo può essere un punto debole per il tuo sito web. Sapendo quale versione di WordPress hai, un hacker può fare molti danni.

Utilizzando un file functions.php puoi disabilitare la visualizzazione delle informazioni sulla versione della tua piattaforma. Per fare ciò, è necessario aprire il file functions.phpsituato nella cartella principale del tema corrente del tuo sito web (wp-content / themes / current_wordpress_theme)e aggiungi il codice seguente:
remove_action ("wp_head", "wp_generator");

In alternativa, puoi aggiungere il seguente codice al file functions.php:

/ * Nasconde le stringhe di versione di WP da script e stili
* @return (stringa) $ src
* @filter script_loader_src
* @filter style_loader_src
*/
funzione fjarrett_remove_wp_version_strings ($ src) (
global $ wp_version;
parse_str (parse_url ($ src, PHP_URL_QUERY), $ query);
if (! empty ($ query [‘ver’]) && $ query [‘ver’] \u003d\u003d\u003d $ wp_version) (
$ src \u003d remove_query_arg ("ver", $ src);
}
return $ src;
}
add_filter ("script_loader_src", "fjarrett_remove_wp_version_strings");
add_filter ("style_loader_src", "fjarrett_remove_wp_version_strings");

/ * Nascondi le stringhe della versione WP dal meta tag del generatore * /
funzione wpmudev_remove_version () (
ritorno ";
}
add_filter ("the_generator", "wpmudev_remove_version");

Oltre a quanto sopra, in qualsiasi cartella del tema WordPress, troverai header.php file. Indica anche la versione della tua installazione, che è molto interessante per un hacker, come accennato in precedenza. Rimuovendo la seguente riga dal file, ti sbarazzerai di queste informazioni extra:

” />

5. Scarica temi e plugin da risorse affidabili.

WordPress è così onnipresente che sempre più sviluppatori creano temi e plugin già pronti per esso. Sebbene la maggior parte di essi renderà il tuo sito più facile da usare ed estenderà le sue funzionalità, alcuni possono nascondere conseguenze molto spiacevoli sotto forma di virus e aprire le porte agli hacker. Utilizza solo risorse attendibili per scaricare temi e plug-in, ad esempio wordpress.org, e presta attenzione a eventuali avvisi sulla dannosità dei file. Come con lo stesso WordPress, è importante mantenere i plugin aggiornati con le ultime versioni.

6. Non archiviare file non necessari.

Le estensioni inattive possono rappresentare una seria minaccia per la sicurezza del tuo sito. Pertanto, sentiti libero di rimuovere tutti i plugin e i temi inutilizzati. Ad esempio, imposti il \u200b\u200btest e scegli quello da utilizzare. Dopo aver scelto, non dimenticare di eliminare tutti quelli non necessari.

7. Verificare regolarmente la presenza di virus nel computer locale.

Eseguire i vari passaggi per proteggere il tuo sito WordPress va bene, ma anche il tuo computer deve essere monitorato. Devi avere installato un antivirus costantemente aggiornato. Altrimenti, rischi di infettare il tuo sito web caricando file virali su di esso.

8. Eseguire copie di backup del sito.

Non tutti gli attacchi di utenti malintenzionati possono essere prevenuti, ma solo un attacco riuscito può distruggere tutti gli sforzi per lavorare sul tuo sito. Si consiglia di eseguire backup regolari del sito Web. Molte società di hosting forniscono l'opzione di backup del server e, in tal caso, è possibile ripristinare il sito dalla copia disponibile sul server.

Installando il plug-in di backup del database di WordPress, puoi proteggere ulteriormente il database del tuo sito. Le impostazioni del plug-in consentono di impostare l'opzione per inviare quotidianamente un backup del database alla casella di posta dei contatti.

9. Utilizzare una connessione sicura.

Se preferisci caricare i tuoi file utilizzando un client FTP, utilizza un protocollo di connessione sicura al server SFTP.

10. Crea un file .htaccess.

Codice di protezione hotlinking:

RewriteEngine On
RewriteCond% (HTTP_REFERER)! ^ Http: // (. + \\.)? Yourdomain \\ .com /
RiscriviCond% (HTTP_REFERER)! ^ $
RewriteRule. * \\. (Jpe? G | gif | bmp | png) $ /images/nohotlink.jpg [L]

L'hotlinking è l'inserimento di un'immagine dal tuo server al sito web / blog di qualcun altro. In questo caso, il traffico va direttamente al tuo server.

Utilizzando il codice sopra, puoi forzare il server a controllare esattamente da dove proviene la richiesta: se dalle pagine del tuo sito web, allora il server fornisce l'immagine all'utente senza problemi; se dal sito web di qualcun altro, mostra un'immagine con un errore.

11. Modificare il prefisso delle tabelle del database.

Anche la protezione dagli hacker di WordPress verrà migliorata rimuovendo il prefisso originale wp_ -questo renderà più difficile la ricerca per gli aggressori. Consideriamo diversi modi:

Metodo 1 - Adatto per nuove installazioni tramite Softaculous
Se il tuo provider di hosting ti consente di utilizzare lo script Softaculous per installare WordPress, puoi modificare il prefisso durante l'installazione iniziale: nella sezione Opzioni avanzate, dovrai apportare le modifiche richieste.

Metodo 2: per siti esistenti e nuove installazioni di WordPress
Se il tuo WordPress è installato da molto tempo e il sito funziona, puoi modificare il prefisso utilizzando il programma phpMyAdmin.

Selezionare il database richiesto dall'elenco ed eseguire la seguente query di database:

RINOMINA tabella `wp_commentmeta` TO` newprefix_commentmeta`;
RENAME tabella `wp_comments` TO` newprefix_comments`;
RINOMINA tabella `wp_links` TO` newprefix_links`;
RINOMINA tabella `wp_options` TO` newprefix_options`;
RINOMINA tabella `wp_postmeta` TO` newprefix_postmeta`;
RINOMINA tabella `wp_posts` TO` newprefix_posts`;
RINOMINA tabella `wp_terms` TO` newprefix_terms`;
RINOMINA tabella `wp_term_relationships` TO` newprefix_term_relationships`;
RINOMINA tabella `wp_term_taxonomy` TO` newprefix_term_taxonomy`;
RINOMINA tabella `wp_usermeta` A` newprefix_usermeta`;
RINOMINA tabella `wp_users` TO` newprefix_users`;

dove "Newprefix_" deve essere sostituito con il nuovo prefisso che si desidera utilizzare al posto del prefisso "Wp_".

Successivamente, vedrai il nuovo prefisso nelle tabelle del database:

Per garantire che tutte le modifiche siano state eseguite correttamente e il prefisso wp_ non sia più utilizzato nella tabella _opzioni e _usermeta, dovrai fare un'altra query al database:

SELEZIONA * DA `newprefix_options` WHERE` nome_opzione` COME '% wp_%'

SELEZIONA * DA `newprefix_usermeta` WHERE` meta_key` COME '% wp_%'

Di conseguenza, puoi trovare un numero di prefissi che dovrai rinominare manualmente utilizzando il pulsante modificare:

Il numero di modifiche che dovrai apportare può variare. Ma tutti i prefissi wp_ è necessario modificare il nuovo prefisso affinché il sito Web funzioni correttamente.

Dopodiché, non dimenticare di cambiare anche il prefisso in wp-config.php file:

È inoltre possibile utilizzare plug-in speciali per modificare il prefisso del database: Cambia prefisso DB o Cambia prefisso tabella.

12. Limitare il numero di tentativi di accesso.

Molto spesso, gli aggressori tentano un numero enorme di accedere al tuo sito indovinando una password. È possibile configurare il sistema in modo che l'indirizzo IP venga bloccato per diverse ore dopo un certo numero di tentativi di accesso non riusciti.

Per fare ciò, puoi utilizzare plug-in aggiuntivi, come Login LockDown o Limit Login Attempts. Nelle impostazioni di questi plugin è possibile impostare in modo indipendente il numero di tentativi di accesso e il tempo di blocco.

Inoltre, è possibile rimuovere la visualizzazione del messaggio che il nome utente e la password immessi non sono corretti. Dopotutto, anche queste sono informazioni che possono aiutare un aggressore.

Per rimuovere l'output di questo messaggio, è necessario aprire il file functions.phpsituato nella cartella del tema corrente del tuo sito web (wp-content / themes / current_WordPress_theme) e aggiungi il codice in questo modo:
add_filter ("login_errors", create_function ("$ a", "return null;"));

13. Rimuovere readme.html e license.txt.

I file readme.html e license.txt sono presenti nella cartella principale di qualsiasi installazione di WordPress. Non hai bisogno di questi file e gli hacker possono rivestirli con le loro atrocità. Ad esempio, per scoprire la versione corrente del tuo WordPress e molte altre cose utili per l'hacking di un sito web. Ti consigliamo di rimuoverli immediatamente dopo l'installazione di WordPress.

14. Utilizzare un certificato SSL.

Per trasferire informazioni protette e riservatezza dello scambio di dati, si consiglia di utilizzare il protocollo SSL. Ciò è particolarmente vero per i negozi online, se non desideri che i dati personali dei tuoi clienti vengano trasmessi in modo non protetto.

Prima di tutto, dovrai installarlo per il tuo nome di dominio.

Successivamente, puoi impostare l'uso obbligatorio del protocollo SSL quando accedi al pannello di controllo del tuo sito. Per fare ciò, apri wp-config.php file che si trova nella cartella principale del tuo sito web e aggiungi la seguente riga:
define ("FORCE_SSL_ADMIN", true);

15. Modifica il file wp-config.php.

Aggiungendo codice come questo a wp-config.php file, puoi anche rafforzare la protezione del tuo sito web:

Limitazione alle modifiche al tema e al plugin:
define ("DISALLOW_FILE_EDIT", true);

Disabilita la possibilità di installare e disinstallare plugin:
define ("DISALLOW_FILE_MODS", true);

Aggiunta di salt-key o cosiddette chiavi di sicurezza: per prima cosa dovrai trovare tali stringhe in wp-config.php file:

Vedrai che le chiavi sono già installate e possono essere modificate. Oppure vedrai righe come questa: 'metti qui la tua frase unica', il che significa che le chiavi non sono state ancora impostate:
/**#@+
* Chiavi e sali univoci di autenticazione.
*
* Cambia queste frasi in diverse frasi uniche!
* Puoi generarli utilizzando il (@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service)
* Puoi modificarli in qualsiasi momento per invalidare tutti i cookie esistenti. Ciò costringerà tutti gli utenti a dover accedere nuovamente.
*
* @since 2.6.0
*/
define ("AUTH_KEY", "inserisci qui la tua frase unica");
define ("SECURE_AUTH_KEY", "inserisci qui la tua frase univoca");
define ("LOGGED_IN_KEY", "inserisci qui la tua frase unica");
define ("NONCE_KEY", "inserisci qui la tua frase unica");
define ("AUTH_SALT", "inserisci qui la tua frase unica");
define ("SECURE_AUTH_SALT", "inserisci qui la tua frase unica");
define ("LOGGED_IN_SALT", "inserisci qui la tua frase unica");
define ("NONCE_SALT", "inserisci qui la tua frase unica");

Vorrei menzionare separatamente alcuni plugin:

Si tratta di un plug-in di sicurezza per WordPress che ti consente di scansionare il tuo sito Web alla ricerca di codice dannoso, lacune e scappatoie lasciate dagli hacker, mostrando l'analisi del sito e del traffico in tempo reale. È anche possibile configurare la scansione automatica e molto altro.

Questo plugin controlla il tuo sito web per varie vulnerabilità di sicurezza e offre una serie di metodi per risolverle. Ad esempio, password, diverse autorizzazioni per i file, protezione del database, protezione delle informazioni sulla versione di WordPress, protezione dell'amministratore e altro.

Questo plug-in consente di proteggere account utente e accessi, database e file system, prevenire attacchi di forza bruta (attacchi relativi all'indovinare password), eseguire la scansione del sito e altro ancora.

Per quanto triste possa sembrare, proteggere WordPress è una cosa difficile ei metodi descritti in questo articolo non garantiscono al 100% che il tuo sito sarà completamente protetto da qualsiasi attività fraudolenta. Tuttavia, non dovrebbero essere trascurati, poiché ridurranno in modo significativo la possibilità di hackerare il sito da parte di intrusi.

Ciao a tutti in questo tutorial. E in verità, sarà breve ma utile, soprattutto per i principianti. Ragazzi, conoscete le statistiche di quanti siti vengono violati, no? Ma posso dire che un quarto è già stato violato, quindi questo è anche per gli standard del fatto che gli autori di blog e ospedali ne sono a conoscenza, e quindi la cifra può essere molto inferiore. Ora proteggeremo l'area di amministrazione di WordPress, perché questo è il primo e il più forte muro.

Prefazione.

Come sempre, un po 'di teoria. Vedi, qual è il problema, siamo tutti umani e il nostro comportamento è lo stesso, e finché qualcuno non ci morde in un punto, non ci immergeremo, beh, giusto? Il fatto è che il sito è stato violato da un programma che funziona secondo i propri algoritmi e se il tuo sito lascia il posto a questi algoritmi, allora scrivilo.

Proteggere il tuo sito web è la prima cosa che devi fare e questo dovrebbe sempre essere fatto e controllato. Quindi la maggior parte degli stessi amministratori facilita il funzionamento dei cracker, come descritto. Oppure hanno semplicemente rubato le tue password, ad esempio, dal programma per la connessione FTP al tuo sito.

Leggi tutti gli articoli e proteggiti, e ti consiglio anche di sfogliare i virus, è anche molto informativo.

Plugin per le restrizioni di autorizzazione.

Si chiama Login LockDown, è installato di serie, puoi farlo direttamente tramite il pannello di amministrazione di WordPress. Inserisci il suo nome nella ricerca e installa, come nello screenshot qui sotto. È l'unico da non perdere.

Ora deve essere configurato, in linea di principio non ci sono molte impostazioni, ma la maggior parte degli articoli su Internet sono considerati su versioni precedenti di questo plugin, dove offrono di fare molte cose già inutili. Cominciamo qui uno screenshot e sotto una descrizione (l'ho diviso in due parti, per comodità)

  1. Percorso alle impostazioni del plug-in.
  2. Numero massimo di tentativi di accesso, questo significa il numero di tentativi che una persona può inserire, ho messo 3 l'opzione migliore. Se durante questi tre tentativi non era corretto, l'accesso all'ingresso viene bloccato.
  3. Durata blocco (minuti), in base all'ultimo punto, indichiamo a che ora faremo il blocco, tra i tentativi di inserimento dei dati, ho impostato 1 minuto. Cioè, supponiamo che tu vada al pannello di amministrazione, ma la prima volta che non puoi, allora la protezione del pannello di amministrazione di wordpress viene attivata immediatamente e puoi continuare solo dopo il tempo in cui ti sei registrato qui.
  4. Durata blocco (minuti), dopo diversi fallimenti (ne ho impostati tre), il plugin vede che tutti i tentativi di autorizzazione sono inutili, e blocca l'ip dell'utente, qui ci registriamo per che ora, ho un'ora.
  5. Bloccare i nomi utente non validi? Contare il numero di tentativi quando si immette un accesso errato, un elemento obbligatorio.

  1. Errori di accesso alla maschera? Mettiamo anche sì, ovviamente. Riguarda lo stesso WordPress, si dice che il login o la password sono stati inseriti in modo errato. E per nascondere questi suggerimenti, è necessario un elemento del genere.
  2. Mostra collegamento di credito? Per impostazione predefinita, se questo elemento non è selezionato, dirà che tutto è protetto dal plug-in Login LockDown. Per non fornire informazioni non necessarie, stiamo facendo questa impostazione. In vecchi articoli su Internet, consigliavano di entrare nel codice del plugin e fare tutto a mano, ma il tempo passa e questa funzione è stata implementata dagli stessi sviluppatori.
  3. Come hanno fatto tutti, fare clic su questo pulsante e salvare le impostazioni.
  4. Attualmente bloccato.E qui ci sarà un elenco di tutti gli indirizzi ip che hanno tentato di hackerare il sito, o meglio, che avevano superato il limite di ingresso.

Conclusione.

Non pensiamo a un blog come a un robot stazionario a cui sei arrivato, scritto, ottimizzato qualcosa e basta. Ricorda la mia parola

Condividere
Condividere
Tweet
Piace
Piace

Leggi anche

LA CAMPANA

C'è chi ha letto questa notizia prima di te.
Iscriviti per ricevere gli ultimi articoli.
E-mail
Nome
Cognome
Come vuoi leggere The Bell
Niente spam